mon ordi est infecter Résolu

Question

bonjour a tous j ai le meme probleme j ai telecharger antivir mais il me sort des virus trojan spywar en permanence surtout dans le dossier win32. mon fond d ecran affiche un  message warning et jusqu a hier je ne pouvé faire aucune mise a jour. de plus de debute je ne sais plus quoi faire aidé moi svp

sasukedu91 · Answer

suis le guide https://forums.cnetfrance.fr et poste ton rapport

nicolasdu13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:40, on 18/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vphc700.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\IE7-WindowsXP-x86-fra.exe
c:\c3bd159387618cb7f3ab0ebd\update\iesetup.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\DOCUME~1\ANGEAR~1\LOCALS~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {EF4CC146-43C9-4741-8D21-EB5035A4EBEC} - C:\WINDOWS\system32\wvUkICuU.dll (file missing)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe
O4 - HKLM\..\Run: [REV] C:\Program Files\counter-strike\Revolution_Script
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\stdcons.exe/r
O4 - HKLM\..\Run: [5429714b] rundll32.exe "C:\WINDOWS\system32\ebhbphxc.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin710.exe.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB89D377-8DBE-4322-B474-C54D5BA5A314}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00703C4.dat
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O22 - SharedTaskScheduler: arborize - {d9f6ce57-0718-4bd1-916f-5fb1f86911c2} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Norman\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

nicolasdu13 · Answer

j ai fait tout se que tu as dit mais le redemarage en mode sans echec marche pas je croi  il faut apuiyé sur la touche f8 essuite avec les fleche monter sur mode sans echec et l ecran est devenu noir penden plus de 10min donc j ai redemarer normalemen comment faire?

nicolasdu13 · Answer

j ai redemaré en mode sans echec et prise en charge du reseau je continu la procedure mai ne sais pas si c pareil qu el emode sans echec tout cour

nicolasdu13 · Answer

c fait

nicolasdu13 · Answer

j ai encore recu un message me demenden d effacé ou de mettre en quarentaine un virus mais aven de faire tou sa c était au moin 20 message de se style donc esque c terminé?

nicolasdu13 · Answer

le guide navilog1?

sasukedu91 · Answer

suis sa:

Suppression de Magic.Control avec navilog1 (procédure courte)
Navilog1 est un utilitaire créé par IL-MAFIOSO, il est destiné à supprimer Magic.Control/NaviPromo.
Voici la procédure pour utiliser cet utilitaire, ce dernier ne fonctionne que sous environnement Windows XP. Le fix ne fonctionne pas sous Windows 2000.

Si vous rencontrez des problèmes lors de son utilisation, n'hésitez pas à venir dans la partie virus du forum avec si possibile l'erreur rencontré : Acceder au forum du site malekal.com


Si vous êtes sous Windows Vista....
Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors de l'utilisation du fix.
Vous pouvez vous aider de ce lien pour désactiver l'UAC : Comment désactiver l’UAC de Windows Vista

Attention!!Tant que l'UAC n'est pas désactivé, vous ne pourrez pas utiliser navilog1 ou il sera sans effet!
Téléchargement et installation de navilog1

    * Si vous utilisez Antivir (que je vous recommande), vous devez désactiver la protection en temps réel, Antivir détecte certains composant de navilog1 comme néfaste.
          o Pour cela, faites un clic droit sur l'icône Antivir en bas à droite à côté de l'horloge puis Disable Guard.
    * Vous pouvez télécharger navilog depuis le lien suivant : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    * Placez navilog1.exe sur le bureau
    * Double-cliquez dessus.. Le programme d'installation démarre.
    * Choisissez la langue, puis cliquez sur le bouton OK

Supprimer Magic.Control / EDGACCESS

    * Une nouvelle de Bienvenue s'ouvre...
    * Cliquez sur le bouton Suivant pour passer à l'étape suivante.

Supprimer Magic.Control / EDGACCESS

    * Le programme d'installation vous demande ensuite si vous désirez créer une icone sur le bureau. Laissez l'option cochée
    * Cliquez sur le bouton Suivant pour passer à l'étape suivante.

Supprimer Magic.Control / EDGACCESS

    * Une fenêtre récapitulative des options d'installation s'ouvre...
    * Cliquez sur le bouton Suivant pour passer à l'étape suivante.
    * La copie des fichiers s'effectue...

Supprimer Magic.Control / EDGACCESS

    * Navilog1 est alors installé...
    * Cliquez sur le bouton Terminer pour fermer le programme d'installation.

Supprimer Magic.Control / EDGACCESS
recherche de l'infection Magic.Control avec Navilog1
Démarrez Navilog1 :

    * Sous Windows Vista : Faites un clic droit sur l’icône Navilog1 qui se trouve sur votre bureau, et choisissez « exécuter en tant qu’administrateur »
    * Sous Windows XP/2000 : Double-cliquez sur l’icône Navilog1 qui se trouve sur votre bureau.


Vous devez choisir la langue.. Pour le français, tapez sur la lettre F du clavier puis Entrée pour valider le choix.
Supprimer Magic.Control / EDGACCESS

    * Double-cliquez sur le fichier navilog1.bat (il se peut que .bat n'apparaisse pas et que vous n'ayez que navilog1).
    * Une fenêtre noire semblable à celle ci-dessous s'ouvre.
    * Appuyez sur une touche pour passer à l'étape suivante

Supprimer Magic.Control / EDGACCESS

    * Appuyez sur une touche pour passer à l'étape suivante

Supprimer Magic.Control / EDGACCESS

    * L'étape suivante va vérifier que vous avez bien décompressé l'archive. Si ce n'est pas le cas, l'exécution va se terminer ici.
    * Vérifiez que vous avez bien décompressé navilog1.zip ENTIEREMENT sur votre bureau.
    * Appuyez sur une touche pour passer à l'étape suivante

Supprimer Magic.Control / EDGACCESS

    * Le menu du fix s'ouvre alors.
    * Choisissez l'option 1, pour cela, tapez sur la touche 1  de votre clavier puis appuyez sur la touche entrée de votre clavier.

Supprimer Magic.Control / EDGACCESS

    * La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes (de 5 à 10min), soyez patient et ne touchez à rien.
    * Des inscriptions comme ci-dessous peuvent apparaître.

Supprimer Magic.Control / EDGACCESS

    * Le rapport fixnavi.txt s'ouvre alors..
    * (si ce dernier ne s'ouvre pas : Ouvrez le poste de travail puis Disque C et enfin double-cliquez sur fixnavi.txt)

IMPORTANT : si vous vous faites aidé sur un forum de sécurité, postez le contenu complet de ce rapport.
Supprimer Magic.Control / EDGACCESS
Eradication de Magic.Control/Navipromo avec navilog1

Pour éradiquer Magic.Control/Navipromo, vous devez donc avoir noté cette suite de lettres aléatoires qui est apparue sur votre rapport.

    * Relancez Naviglog1 :
          o Sous Windows Vista : Faites un clic droit sur l’icône Navilog1 qui se trouve sur votre bureau, et choisissez « exécuter en tant qu’administrateur »
          o Sous Windows XP/2000 : Double-cliquez sur l’icône Navilog1 qui se trouve sur votre bureau.pour arriver au menu de la capture ci-dessous
    * Sur le menu, choisissez Désinfection automatique soit donc l'option 2
    * Appuyez sur touche 2 du clavier puis appuyez sur la touche Entrée du clavier
    * Le fix va se mettre à travailler, cela peut prendre plusieurs minutes... soyez patient !
    * Sur la fenêtre noire, le message Si des dll nefastes sont presentes, elles vont être desenregistrees peut apparaître.
    * Une petite fenêtre RegSrv32 similaire à celle ci-dessous peut alors apparaître avec le message DllUnregisterServer dans <nom de la dll> a réussi
    * Cliquez simplement sur OK, si d'autres fenêtres de ce type s'ouvrent, cliquez sur OK à chaque fois.

Supprimer Magic.Control / EDGACCESS

    * Le rapport va s'ouvrir alors... Vérifiez bien que dans la partie Mode suppression manuelle, les fichiers soient bien mentionnés comme supprimé.

A ce stade, si vous avez bien suivi les étapes, votre ordinateur est désinfecté de Magic.Control/Navipromo.
Le rapport de désinfection est créé sur le bureau et porte le nom de cleanavi.txt
Si vous vous faites aidé sur un forum de sécurité, enregistrez ce rapport sur votre bureau.

    * Copier/collez le contenu de ce rapport

balltrap34 · Answer

salut
juste pour info

apparament il y a du vundo lol

a++

balltrap34 · Answer

re
juste pour mes infos
apparament il y a ou avait du zlob

peut tu passer smitfraudfix stp et nous mettre le rapport option 1
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

aide utilisation http://siri.urz.free.fr/Fix/SmitfraudFix.php

a++

balltrap34 · Answer

re apparament deja suppr avant peut tu refaire un log hijacthis stp
a++

sasukedu91 · Answer

tout est ok normalement

balltrap34 · Answer

re
fait le scan vundo fix citer plus haut
a++

nicolasdu13 · Answer

//-----------------------------------------------------------------
//
//	Produit BitDefender Free Edition v10
//	Produit 10.2
//
//	Créé le: 	18/05/2008	17:32:29
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: 	C:\WINDOWS
		C:\Program Files
Dossiers	: 2824
Fichiers	: 65965
Processus Mémoire analysés	: 0
Archives	: 132 
Fichiers enpaquetés 	: 3959
Virus trouvés	: 2
Fichiers infectés 	: 2
Processus Mémoire infectés	: 0
Fichiers suspects 	: 0
Alertes	: 0
Fichiers désinfectés 	: 0
Fichiers effacés	: 0
Fichiers déplacés	: 2
Erreurs I/O 	: 15
Temps d'analyse 	:=00:58:23
Fichiers/seconde 	:18

Définitions virus	: 1197927
Plugins d'analyse	: 16
Plugins archives	: 42
Plug-ins décompression	: 7
Plug-ins messagerie	: 6
Plug-ins système	: 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[ ] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur: 
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\DOCUME~1\ANGEAR~1\LOCALS~1\Temp\1211124749.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[ ] Clés de registres
[ ] Cookies


Résumé:

C:\WINDOWS\MSNImport.exe	Infecté: Trojan.Generic.134907
C:\WINDOWS\MSNImport.exe	Désinfection impossible
C:\WINDOWS\MSNImport.exe	Déplacé
C:\WINDOWS\system32\WinCtrl32.dl_	Infecté: Trojan.Dropper.Kobcka.C
C:\WINDOWS\system32\WinCtrl32.dl_	Désinfection impossible
C:\WINDOWS\system32\WinCtrl32.dl_	Déplacé




voila le rapport

sasukedu91 · Answer

sinon envoi moi un message

balltrap34 · Answer

ce n est pas parce que defender dit qu il la suppr que c est fini
il faut verifier si il ne se regenere pas via un dropper ou autre

donc refait un hijacthis

a++

nicolasdu13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:09, on 18/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vphc700.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\progra~1\steam\steam.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\Rar$EX00.672\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe
O4 - HKLM\..\Run: [REV] C:\Program Files\counter-strike\Revolution_Script
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin710.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB89D377-8DBE-4322-B474-C54D5BA5A314}: NameServer = 192.168.1.1
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Norman\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

balltrap34 · Answer

re c est bien se que je pensait

recherche et suppr si tu peut ceci
C:\WINDOWS\SYSTEM32\WinCtrl32.dll 

ensuite relance hijackthis et remet nous le log
a++

balltrap34 · Answer

re le log met le ici pas en MP stp

dit moi si tu as suppr le fichier demander et met le log hijack
a++

Lyonnais92 · Answer

Bonjour à tous,

balltrap, comme tu l'imaginais, la ligne est revenue.

Je crois que j'ai déjà croisé la bêbête.

Il faut un script Combofix pour supprimer les fichiers créés en même temps.

Nicolas, fais ça

 Télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 

Double-clique sur combofix.exe et suis les instructions

A la fin, il va produire un rapport C:\ComboFix.txt

Réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Lyonnais92 · Answer

Bonjour à tous,

balltrap, comme tu l'imaginais, la ligne est revenue.

Je crois que j'ai déjà croisé la bêbête.

Il faut un script Combofix pour supprimer les fichiers créés en même temps.

Nicolas, fais ça

 Télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 

Double-clique sur combofix.exe et suis les instructions

A la fin, il va produire un rapport C:\ComboFix.txt

Réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

nicolasdu13 · Answer

voici le rapport combofix

ComboFix 08-05-15.3 - nicolas arredondo 2008-05-19 19:53:53.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.170 [GMT 2:00]
Endroit: C:\Program Files\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\nicolas arredondo\Application Data\inst.exe
C:\smp.bat
C:\WINDOWS\cookies.ini
C:\WINDOWS\dat.txt
C:\WINDOWS\system32\cxhpbhbe.ini
C:\WINDOWS\system32\ebyhakho.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qqprqtwa.ini
C:\WINDOWS\system32\qqprqtwa.ini2

.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 18:42 . 2008-05-19 18:42 14,336 --a------ C:\WINDOWS\system32\WinCtrl32.dl_
2008-05-19 18:25 . 2008-05-19 18:25 1,916,951 --a------ C:\Program Files\ComboFix.exe
2008-05-19 17:14 . 2008-05-19 17:14 <REP> d-------- C:\Program Files\backups
2008-05-19 17:08 . 2008-05-19 17:08 401,720 --a------ C:\Program Files\HiJackThis.exe
2008-05-18 20:14 . 2008-05-18 20:14 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Malwarebytes
2008-05-18 18:55 . 2008-05-18 18:55 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Bitdefender
2008-05-18 18:38 . 2008-05-18 18:38 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Bitdefender
2008-05-18 17:42 . 2008-05-18 17:42 1,850 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-18 17:41 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-18 17:41 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-18 17:41 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-18 17:41 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-18 17:41 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-18 17:41 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-18 17:40 . 2008-05-18 17:43 <REP> d-------- C:\Documents and Settings\ange arredondo\SmitfraudFix
2008-05-18 17:39 . 2008-05-18 17:39 <REP> d-------- C:\VundoFix Backups
2008-05-18 17:32 . 2008-05-19 19:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-05-18 17:27 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Softwin
2008-05-18 17:27 . 2008-05-18 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-05-18 17:26 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Malwarebytes
2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 13:24 . 2008-05-18 13:24 <REP> d-------- C:\c3bd159387618cb7f3ab0ebd
2008-05-18 04:12 . 2008-05-18 04:12 60 --a------ C:\WINDOWS\system32\SYSDRV.DAT
2008-05-18 04:11 . 2008-05-19 18:42 <REP> d-------- C:\WINDOWS\system32\Catroot2
2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Mes documents
2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Menu Démarrer
2008-05-18 04:09 . 2008-05-18 04:09 <REP> dr------- C:\Documents and Settings\Propriétaire\Favoris
2008-05-17 18:42 . 2008-05-17 18:42 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-17 18:20 . 2008-05-18 20:14 <REP> d-------- C:\Program Files\Navilog1
2008-05-17 18:07 . 2008-05-17 20:05 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\SUPERAntiSpyware.com
2008-05-17 16:48 . 2008-05-17 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Program Files\Avira
2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-17 15:25 . 2008-05-17 15:26 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-16 19:01 . 2008-05-16 02:03 172,032 --a------ C:\WINDOWS\exnk.exe
2008-05-16 19:01 . 2008-05-19 16:59 14,336 --a------ C:\WINDOWS\system32\WinCtrl32.dll
2008-05-03 16:14 . 2008-05-03 16:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-05-03 16:13 . 2008-05-16 00:47 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Azureus
2008-05-03 16:12 . 2008-05-04 19:22 <REP> d-------- C:\Program Files\Azureus
2008-05-03 14:54 . 2008-05-03 14:54 <REP> d-------- C:\Program Files\Alwil Software
2008-04-25 11:24 . 2008-05-06 14:17 227 --a------ C:\WINDOWS\RtlRack.ini
2008-04-22 19:08 . 2008-04-22 19:08 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\ArcSoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 16:45 --------- d-----w C:\Program Files\Steam
2008-05-19 15:09 7,906 ----a-w C:\Program Files\hijackthis.log
2008-05-12 17:35 --------- d-----w C:\Documents and Settings\ange arredondo\Application Data\temp
2008-05-06 12:41 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-05-06 12:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-05 13:16 --------- d-----w C:\Documents and Settings\nicolas arredondo\Application Data\temp
2008-05-05 12:50 --------- d-----w C:\Program Files\eChanblard
2008-04-25 13:17 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-04-19 15:07 --------- d-----w C:\Program Files\TVAnts
2008-04-14 18:51 --------- d-----w C:\Program Files\SopCast
2008-04-13 09:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Downloaded Installations
2008-04-04 09:59 --------- d--h--r C:\Documents and Settings\ange arredondo\Application Data\SecuROM
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-27 15:50 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-06 18:09 47,360 ----a-w C:\Documents and Settings\nicolas arredondo\Application Data\pcouffin.sys
2007-09-19 10:49 245,760 ----a-w C:\Program Files\Uninstall Ask Toolbar.dll
2007-07-14 20:58 21 ----a-w C:\Program Files\Fichiers communs\appop.log
2007-12-02 14:28 56 --sh--r C:\WINDOWS\system32\[u]0[/u]E3FCDB958.sys
2008-01-03 12:21 88 --sh--r C:\WINDOWS\system32\58B9CD3F0E.sys
2008-01-03 12:55 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2008-02-12 01:08 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 21:00 15360]
"Steam"="c:\progra~1\steam\steam.exe" [2008-04-07 19:18 1271032]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 18:33 147456 C:\WINDOWS\system32\VTTrayp.exe]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-19 14:35 999424]
"schedule"="C:\Program Files\InterVideo\Backup\Schedule.exe" [ ]
"EoEngine"="" []
"EoWeather"="" []
"REV"="C:\Program Files\counter-strike\Revolution_Script" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"CTRegRun"="C:\WINDOWS\CTRegRun.EXE" [1999-10-10 19:00 41984]
"phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 20:56 339968]
"SoundMan"="SOUNDMAN.EXE" [2005-12-14 19:06 577536 C:\WINDOWS\SOUNDMAN.EXE]
"ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 21:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
TrayMin710.exe.lnk - C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe [2008-02-08 14:14:31 278528]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
WinCtrl32.dll 2008-05-19 16:59 14336 C:\WINDOWS\system32\WinCtrl32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.mpng"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
"vidc.mvjp"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
"vidc.444p"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgL62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\flP40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggC48.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\glQ73.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gmR38.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioS62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcP26.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kgD66.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lqV73.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mrW16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwC51.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwD40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rxD16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeK63.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yfK16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytR83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\Steam\\steamapps\\nicolas13003\\counter-strike\\hl.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

R2 SBFSHOOK;SBFSHOOK;C:\WINDOWS\system32\drivers\sbfshook.sys [2004-10-18 21:06]
R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 15:21]
S0 flP40;flP40;C:\WINDOWS\system32\Drivers\flP40.sys []
S0 ggC48;ggC48;C:\WINDOWS\system32\Drivers\ggC48.sys []
S0 glQ73;glQ73;C:\WINDOWS\system32\Drivers\glQ73.sys []
S0 gmR38;gmR38;C:\WINDOWS\system32\Drivers\gmR38.sys []
S0 ioS62;ioS62;C:\WINDOWS\system32\Drivers\ioS62.sys []
S0 kcP26;kcP26;C:\WINDOWS\system32\Drivers\kcP26.sys []
S0 kgD66;kgD66;C:\WINDOWS\system32\Drivers\kgD66.sys []
S0 rwC51;rwC51;C:\WINDOWS\system32\Drivers\rwC51.sys []
S0 rwD40;rwD40;C:\WINDOWS\system32\Drivers\rwD40.sys []
S0 rxD16;rxD16;C:\WINDOWS\system32\Drivers\rxD16.sys []
S0 yfK16;yfK16;C:\WINDOWS\system32\Drivers\yfK16.sys []
S0 ytR83;ytR83;C:\WINDOWS\system32\Drivers\ytR83.sys []
S3 lqV73;lqV73;C:\WINDOWS\System32\drivers\lqV73.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys []
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e834254-75c1-11dc-aa4a-0016ecbd5c9b}]
\Shell\AutoRun\command - E:\GETMYPIX.EXE

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 19:56:50
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\fr_live_10versions.dat

Scan terminé avec succès
Les fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\WinCtrl32.dll
.
Temps d'accomplissement: 2008-05-19 20:00:28
ComboFix-quarantined-files.txt 2008-05-19 17:59:57

Pre-Run: 123,743,019,008 octets libres
Post-Run: 123,766,722,560 octets libres

236 --- E O F --- 2008-05-18 17:52:25

ps: quelqu un peut me dire ce qu est window/systeme32/winctrl32 mon antivirus me signal toujour un probleme a cause de ce truk et impossible de l éffacé

Lyonnais92 · Answer

Re,

c'est un trojan protégé par d'autres fichiers.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
flP40 
ggC48 
glQ73; 
gmR38 
ioS62 
kcP26 
kgD66 
rwC51 
rwD40 
rxD16 
yfK16 
ytR83 
lqV73 

file::
C:\WINDOWS\exnk.exe
C:\WINDOWS\system32\WinCtrl32.dll 
C:\WINDOWS\system32\Drivers\flP40.sys 
C:\WINDOWS\system32\Drivers\ggC48.sys 
C:\WINDOWS\system32\Drivers\glQ73.sys 
C:\WINDOWS\system32\Drivers\gmR38.sys 
C:\WINDOWS\system32\Drivers\ioS62.sys 
C:\WINDOWS\system32\Drivers\kcP26.sys 
C:\WINDOWS\system32\Drivers\kgD66.sys 
C:\WINDOWS\system32\DriverswC51.sys 
C:\WINDOWS\system32\DriverswD40.sys 
C:\WINDOWS\system32\DriversxD16.sys 
C:\WINDOWS\system32\Drivers\yfK16.sys 
C:\WINDOWS\system32\Drivers\ytR83.sys 
C:\WINDOWS\System32\drivers\lqV73.sys 
 
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\WinCtrl32]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\drivers\sbfshook.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

balltrap34 · Answer

salut
merci lyonnais d avoir pris la suite j etais tres occuper aujourd'hui 
ces drivers revienne tres souvent en se moment sur pas mal de pc clients
par contre plus rare d en retrouver autant

j edite
il me semble que ceux ci pouvait etre intergrer au script non?
yek63
mrW16
bgL62

pour  sbfshook.sys au vu de la date je pense pas qu il soit nefaste mais avec ces drivers tres difficile a cerner vaut mieux verifier bien que je sois pas sur que les av les detectes bien

a++

nicolasdu13 · Answer

ComboFix 08-05-15.3 - nicolas arredondo 2008-05-20 14:00:41.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.113 [GMT 2:00]
Endroit: C:\Program Files\ComboFix.exe
Command switches used :: C:\Documents and Settings\nicolas arredondo\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\exnk.exe
C:\WINDOWS\system32\Drivers\flP40.sys
C:\WINDOWS\system32\Drivers\ggC48.sys
C:\WINDOWS\system32\Drivers\glQ73.sys
C:\WINDOWS\system32\Drivers\gmR38.sys
C:\WINDOWS\system32\Drivers\ioS62.sys
C:\WINDOWS\system32\Drivers\kcP26.sys
C:\WINDOWS\system32\Drivers\kgD66.sys
C:\WINDOWS\System32\drivers\lqV73.sys
C:\WINDOWS\system32\Drivers\rwC51.sys
C:\WINDOWS\system32\Drivers\rwD40.sys
C:\WINDOWS\system32\Drivers\rxD16.sys
C:\WINDOWS\system32\Drivers\yfK16.sys
C:\WINDOWS\system32\Drivers\ytR83.sys
C:\WINDOWS\system32\WinCtrl32.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\exnk.exe
C:\WINDOWS\system32\WinCtrl32.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IOS62
-------\Legacy_KGD66
-------\Legacy_LQV73
-------\Legacy_YTR83
-------\Service_flP40
-------\Service_ggC48
-------\Service_gmR38
-------\Service_ioS62
-------\Service_kcP26
-------\Service_kgD66
-------\Service_lqV73
-------\Service_rwC51
-------\Service_rwD40
-------\Service_rxD16
-------\Service_yfK16
-------\Service_ytR83

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-20 to 2008-05-20 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 18:25 . 2008-05-19 18:25 1,916,951 --a------ C:\Program Files\ComboFix.exe
2008-05-19 17:14 . 2008-05-19 17:14 <REP> d-------- C:\Program Files\backups
2008-05-19 17:08 . 2008-05-19 17:08 401,720 --a------ C:\Program Files\HiJackThis.exe
2008-05-18 20:14 . 2008-05-18 20:14 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Malwarebytes
2008-05-18 18:55 . 2008-05-18 18:55 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Bitdefender
2008-05-18 18:38 . 2008-05-18 18:38 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Bitdefender
2008-05-18 17:42 . 2008-05-18 17:42 1,850 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-18 17:41 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-18 17:41 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-18 17:41 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-18 17:41 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-18 17:41 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-18 17:41 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-18 17:41 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-18 17:40 . 2008-05-18 17:43 <REP> d-------- C:\Documents and Settings\ange arredondo\SmitfraudFix
2008-05-18 17:39 . 2008-05-18 17:39 <REP> d-------- C:\VundoFix Backups
2008-05-18 17:32 . 2008-05-20 14:04 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-05-18 17:27 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Softwin
2008-05-18 17:27 . 2008-05-18 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-05-18 17:26 . 2008-05-18 17:27 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\Malwarebytes
2008-05-18 14:16 . 2008-05-18 14:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 13:24 . 2008-05-18 13:24 <REP> d-------- C:\c3bd159387618cb7f3ab0ebd
2008-05-18 04:12 . 2008-05-18 04:12 60 --a------ C:\WINDOWS\system32\SYSDRV.DAT
2008-05-18 04:11 . 2008-05-19 18:42 <REP> d-------- C:\WINDOWS\system32\Catroot2
2008-05-17 18:42 . 2008-05-17 18:42 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-17 18:20 . 2008-05-18 20:14 <REP> d-------- C:\Program Files\Navilog1
2008-05-17 18:07 . 2008-05-17 20:05 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2008-05-17 16:50 . 2008-05-17 16:50 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\SUPERAntiSpyware.com
2008-05-17 16:48 . 2008-05-17 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Program Files\Avira
2008-05-17 15:27 . 2008-05-17 15:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-17 15:25 . 2008-05-17 15:26 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-03 16:14 . 2008-05-03 16:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-05-03 16:13 . 2008-05-16 00:47 <REP> d-------- C:\Documents and Settings\nicolas arredondo\Application Data\Azureus
2008-05-03 16:12 . 2008-05-04 19:22 <REP> d-------- C:\Program Files\Azureus
2008-05-03 14:54 . 2008-05-03 14:54 <REP> d-------- C:\Program Files\Alwil Software
2008-04-25 11:24 . 2008-05-06 14:17 227 --a------ C:\WINDOWS\RtlRack.ini
2008-04-22 19:08 . 2008-04-22 19:08 <REP> d-------- C:\Documents and Settings\ange arredondo\Application Data\ArcSoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 18:13 --------- d-----w C:\Program Files\Steam
2008-05-19 15:09 7,906 ----a-w C:\Program Files\hijackthis.log
2008-05-12 17:35 --------- d-----w C:\Documents and Settings\ange arredondo\Application Data\temp
2008-05-06 12:41 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-05-06 12:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-05 13:16 --------- d-----w C:\Documents and Settings\nicolas arredondo\Application Data\temp
2008-05-05 12:50 --------- d-----w C:\Program Files\eChanblard
2008-04-25 13:17 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-04-19 15:07 --------- d-----w C:\Program Files\TVAnts
2008-04-14 18:51 --------- d-----w C:\Program Files\SopCast
2008-04-13 09:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Downloaded Installations
2008-04-04 09:59 --------- d--h--r C:\Documents and Settings\ange arredondo\Application Data\SecuROM
2008-02-06 18:09 47,360 ----a-w C:\Documents and Settings\nicolas arredondo\Application Data\pcouffin.sys
2007-09-19 10:49 245,760 ----a-w C:\Program Files\Uninstall Ask Toolbar.dll
2007-07-14 20:58 21 ----a-w C:\Program Files\Fichiers communs\appop.log
2007-12-02 14:28 56 --sh--r C:\WINDOWS\system32\[u]0[/u]E3FCDB958.sys
2008-01-03 12:21 88 --sh--r C:\WINDOWS\system32\58B9CD3F0E.sys
2008-01-03 12:55 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-19_19.59.41.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 16:41:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 12:05:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2008-02-12 01:08 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 21:00 15360]
"Steam"="c:\progra~1\steam\steam.exe" [2008-04-07 19:18 1271032]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 18:33 147456 C:\WINDOWS\system32\VTTrayp.exe]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-19 14:35 999424]
"schedule"="C:\Program Files\InterVideo\Backup\Schedule.exe" [ ]
"EoEngine"="" []
"EoWeather"="" []
"REV"="C:\Program Files\counter-strike\Revolution_Script" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"CTRegRun"="C:\WINDOWS\CTRegRun.EXE" [1999-10-10 19:00 41984]
"phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 20:56 339968]
"SoundMan"="SOUNDMAN.EXE" [2005-12-14 19:06 577536 C:\WINDOWS\SOUNDMAN.EXE]
"ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 21:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.mpng"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
"vidc.mvjp"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll
"vidc.444p"= C:\Program Files\t@b\[u]0[/u].957\686\tabdec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgL62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\flP40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggC48.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\glQ73.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gmR38.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioS62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcP26.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kgD66.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lqV73.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mrW16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwC51.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rwD40.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rxD16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeK63.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yfK16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ytR83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\Steam\\steamapps\\nicolas13003\\counter-strike\\hl.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

R2 SBFSHOOK;SBFSHOOK;C:\WINDOWS\system32\drivers\sbfshook.sys [2004-10-18 21:06]
R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 15:21]
S0 glQ73;glQ73;C:\WINDOWS\system32\Drivers\glQ73.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys []
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe folder.htt 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e834254-75c1-11dc-aa4a-0016ecbd5c9b}]
\Shell\AutoRun\command - E:\GETMYPIX.EXE

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 14:07:08
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-20 14:15:33 - machine was rebooted [nicolas arredondo]
ComboFix-quarantined-files.txt 2008-05-20 12:15:10
ComboFix2.txt 2008-05-19 18:00:29

Pre-Run: 123,724,701,696 octets libres
Post-Run: 123,756,064,768 octets libres

250 --- E O F --- 2008-05-18 17:52:25

log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:41, on 20/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\progra~1\steam\steam.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\Rar$EX00.344\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe
O4 - HKLM\..\Run: [REV] C:\Program Files\counter-strike\Revolution_Script
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin710.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB89D377-8DBE-4322-B474-C54D5BA5A314}: NameServer = 192.168.1.1
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Program Files\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

nicolasdu13 · Answer

et voici le rapport virus total :


Fichier sbfshook.sys reçu le 2008.05.20 14:32:21 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/32 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.5.20.0 2008.05.20 - 
AntiVir 7.8.0.19 2008.05.20 - 
Authentium 5.1.0.4 2008.05.19 - 
Avast 4.8.1195.0 2008.05.20 - 
AVG 7.5.0.516 2008.05.20 - 
BitDefender 7.2 2008.05.20 - 
CAT-QuickHeal 9.50 2008.05.19 - 
ClamAV 0.92.1 2008.05.20 - 
DrWeb 4.44.0.09170 2008.05.20 - 
eSafe 7.0.15.0 2008.05.19 - 
eTrust-Vet 31.4.5806 2008.05.20 - 
Ewido 4.0 2008.05.19 - 
F-Prot 4.4.2.54 2008.05.16 - 
F-Secure 6.70.13260.0 2008.05.20 - 
Fortinet 3.14.0.0 2008.05.20 - 
GData 2.0.7306.1023 2008.05.20 - 
Ikarus T3.1.1.26.0 2008.05.20 - 
Kaspersky 7.0.0.125 2008.05.20 - 
McAfee 5298 2008.05.19 - 
Microsoft 1.3520 2008.05.20 - 
NOD32v2 3113 2008.05.20 - 
Norman 5.80.02 2008.05.19 - 
Panda 9.0.0.4 2008.05.20 - 
Prevx1 V2 2008.05.20 - 
Rising 20.45.12.00 2008.05.20 - 
Sophos 4.29.0 2008.05.20 - 
Sunbelt 3.0.1123.1 2008.05.17 - 
Symantec 10 2008.05.20 - 
TheHacker 6.2.92.314 2008.05.20 - 
VBA32 3.12.6.6 2008.05.19 - 
VirusBuster 4.3.26:9 2008.05.19 - 
Webwasher-Gateway 6.6.2 2008.05.20 - 
Information additionnelle 
File size: 8320 bytes 
MD5...: c7887cf1e400a420c4d336764a3f56af 
SHA1..: b557d04e04746bf5d8dad5751157713dbf13323b 
SHA256: 773d0bae677023337bfbc25174c4f7acbf83e61964597aade2614c6407a07f81 
SHA512: cc8107e0599e00aeebbce23ddcdd03ea51ca547eec104b0144d3237b4ef374ee
746d4a95d755c01f19349aea90ec496df74595f0a131259e945dd0a5a0c83a2f 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1174a
timedatestamp.....: 0x4174bd06 (Tue Oct 19 07:06:46 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x15c1 0x1600 6.16 f9e118d350d61b5e109be08bd19b0862
.rdata 0x1880 0xf1 0x100 4.01 bb43ea919f34a04332de4618cd410628
.data 0x1980 0x110 0x180 1.66 fdea287b0ed5ab2bc4f7e65e210e4be5
INIT 0x1b00 0x340 0x380 4.96 6c3395eb22de90796010d07c8325b9b0
.reloc 0x1e80 0x1b6 0x200 4.98 27ae7e6f1b6795ef6b6686706d54573f

( 2 imports ) 
> ntoskrnl.exe: RtlUnicodeStringToAnsiString, RtlFreeUnicodeString, ZwQueryValueKey, ExAllocatePoolWithTag, RtlInitUnicodeString, ZwOpenKey, RtlAnsiStringToUnicodeString, RtlInitString, _stricmp, _strnicmp, RtlFreeAnsiString, strncpy, sprintf, IoGetCurrentProcess, ZwClose, ObfDereferenceObject, IoAttachDeviceToDeviceStack, IoCreateDevice, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, ZwCreateFile, IoDeleteDevice, IoDetachDevice, KeQuerySystemTime, IofCallDriver, IofCompleteRequest, MmMapLockedPages, IoCreateSymbolicLink, strncmp, ExFreePoolWithTag
> HAL.dll: KeQueryPerformanceCounter

( 0 exports ) 
 


 ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

balltrap34 · Answer

C:\WINDOWS\system32\Drivers\flP40.sys   
C:\WINDOWS\system32\Drivers\ggC48.sys 
C:\WINDOWS\system32\Drivers\gmR38.sys 
C:\WINDOWS\system32\Drivers\ioS62.sys 
C:\WINDOWS\system32\Drivers\kcP26.sys 
C:\WINDOWS\system32\Drivers\kgD66.sys 
C:\WINDOWS\system32\Drivers\lqV73.sys 
C:\WINDOWS\system32\Drivers\rwC51.sys 
C:\WINDOWS\system32\Drivers\rwD40.sys 
C:\WINDOWS\system32\Drivers\rxD16.sys 
C:\WINDOWS\system32\Drivers\yfK16.sys 
C:\WINDOWS\system32\Drivers\ytR83.sys 
C:\WINDOWS\system32\Drivers\bgL62.sys 
C:\WINDOWS\system32\Drivers\glQ73.sys 
C:\WINDOWS\system32\Drivers\mrW16.sys 
C:\WINDOWS\system32\Drivers\yeK63.sys 
C:\WINDOWS\system32\Drivers\kgD66.sys 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


a++

balltrap34 · Answer

ne fait pas se que je test mis au dessus il y a eu un soucis d envoi c est pas complet


Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

Driver:: 
flP40
ggC48
gmR38
ioS62
kcP26
kgD66
lqV73
rwC51
rwD40
rxD16
yfK16
ytR83
bgL62
glQ73
mrW16
yeK63
kgD66 

FILE::
C:\WINDOWS\system32\Drivers\flP40.sys
C:\WINDOWS\system32\Drivers\ggC48.sys
C:\WINDOWS\system32\Drivers\gmR38.sys
C:\WINDOWS\system32\Drivers\ioS62.sys
C:\WINDOWS\system32\Drivers\kcP26.sys
C:\WINDOWS\system32\Drivers\kgD66.sys
C:\WINDOWS\system32\Drivers\lqV73.sys
C:\WINDOWS\system32\Drivers\rwC51.sys
C:\WINDOWS\system32\Drivers\rwD40.sys
C:\WINDOWS\system32\Drivers\rxD16.sys
C:\WINDOWS\system32\Drivers\yfK16.sys
C:\WINDOWS\system32\Drivers\ytR83.sys
C:\WINDOWS\system32\Drivers\bgL62.sys
C:\WINDOWS\system32\Drivers\glQ73.sys
C:\WINDOWS\system32\Drivers\mrW16.sys
C:\WINDOWS\system32\Drivers\yeK63.sys
C:\WINDOWS\system32\Drivers\kgD66.sys 



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 


a++

Mon ordi est infecter

28 réponses

Votre réponse

Newsletters